個人資訊保護法對敏感個人資訊給予特殊保護

　　如何從紙面到現實

　　告別個人資訊裸奔

　　11月1日起，備受關注的個人資訊保護法正式施行。

　　網路資訊時代，個人資訊保護領域亂象叢生，一些企業、機構甚至個人隨意收集、違法獲取、過度使用、非法買賣個人資訊，侵擾人民群眾生活安寧、危害人民群眾生命健康和財産安全。個人資訊保護成為廣大人民群眾最關心、最直接、最現實的利益問題。

　　出臺專門的個人資訊保護法也成為近年來社會各界最為強烈的立法呼聲。如何保護好個人資訊、如何構築強有力的法律威懾、如何有效遏制違法違規侵害個人資訊權益的行為，是立法亟待解決的問題。經過三次審議，8月20日，十三屆全國人大常委會第三十次會議表決通過個人資訊保護法。

　　作為個人資訊保護領域的基礎性專門法律，個人資訊保護法與民法典、數據安全法、電子商務法等法律共同編織成一張個人資訊保護網。值得一提的是，在全社會個人資訊安全意識逐步提高的大背景下，廣大人民群眾對個人資訊保護雖然一直保持較高的關注熱情，但也普遍缺乏相關的科學知識和法律知識。個人資訊保護法真正從紙面的法律條文變為手中維權的利器，並非一蹴而就。

　　區分敏感與非敏感資訊

　　對於普通民眾來説，哪些個人資訊受個人資訊保護法的保護，尤其是哪些個人資訊會受到法律的特殊保護，無疑是最應該弄明白的問題。

　　個人資訊保護法的一大亮點，是首次在法律上將個人資訊區分為敏感與非敏感，採取概括加列舉的定義方式，將“敏感個人資訊”界定為“一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害的個人資訊”，同時對敏感個人資訊的處理予以專門的、更加嚴格的規範。

　　按照個人資訊保護法的規定，生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡以及不滿十四週歲未成年人的個人資訊等，被歸類為“敏感”的個人資訊。相比其他的個人資訊，敏感個人資訊將得到更為嚴格的保護。

　　談及為何要對敏感個人資訊提供特殊的法律保護，清華大學法學院副院長程嘯指出，一方面，敏感個人資訊與自然人的人格尊嚴、人格自由等基本權利和重大人身財産權益具有極為密切的聯繫。無論合法還是非法處理此類資訊，都會産生重大風險甚至直接損害。例如，掌握自然人的基因、指紋、聲紋、掌紋、臉部特徵等生物識別資訊，就可以永久識別特定自然人。如果處理者挖空心思想著如何利用這些資訊來謀取利益，那對個人可能會造成何種危險將難以預測和控制。另一方面，網路資訊時代，完全禁止利用個人資訊顯然是不可能的，如何劃定保護與合理使用的邊界就成為問題核心。敏感與非敏感的區分有助於更科學地劃定這一邊界。此外，區分並明確列舉敏感個人資訊，對於自然人、個人資訊處理者以及相關職能部門來説都非常必要。

　　“這種區分，可以使自然人更充分意識到敏感個人資訊的重要性，採取更有效的自我保護行動，更謹慎的行為，一旦發現違法行為及時舉報等，也能夠降低個人資訊處理者履行義務的合規成本，提高對處理行為合法性的可預期性。職能部門也可以集中資源進行精準有效的執法活動，提高執法效率。”程嘯説。

　　敏感資訊洩露危害極大

　　敏感個人資訊最核心的特點就是敏感性。

　　“這種敏感，就是指造成侵害或危害後果上的容易性。”程嘯説，侵害或危害敏感個人資訊的後果有兩類，一是人格尊嚴受到侵害。比如，洩露個人的種族、民族、政治觀點、性取向、疾病等個人資訊，或者非法使用這些個人資訊，會使個人遭受歧視或受到不公正的對待，這就是對人格尊嚴的侵害。二是自然人的人身、財産安全受到危害。比如，洩露了個人的行蹤軌跡，被不法分子知悉而導致受害人被殺害；洩露銀行賬戶資訊導致銀行的資金被竊取等。

　　尤為值得關注的是，人臉識別作為敏感個人資訊的一種，一旦洩露容易對個人的人身和財産安全造成極大危害，還可能威脅公共安全，因此對其收集和使用一直廣受關注。

　　個人資訊保護法第二十六條規定，在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別資訊只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

　　據悉，目前，就公共場所安裝圖像採集、個人身份識別設備，除了反恐怖主義法之外，尚缺乏相應的法律法規，僅有少數地方政府制定了政府規章，例如，2007年4月1日起施行的《北京市公共安全圖像資訊系統管理辦法》、2011年8月1日起施行的《陜西省公共安全圖像資訊系統管理辦法》等。但這些地方政府規章頒布的年代較早，已不適應現實要求。

　　鋻於此，程嘯建議，個人資訊保護法落地之後，應當儘快從頂層設計層面完善公共安全視頻圖像系統的相關法律法規，更好協調公共安全的維護與個人資訊的保護。

　　主動拿起法律武器維權

　　那麼，作為個人資訊的權利人，該怎樣做才能有效地保護好自己的個人資訊尤其是敏感資訊呢？中消協近日專門給出5個“提醒”：

　　要積極學習個人資訊保護法等法律規定。包括了解個人資訊和敏感個人資訊的處理規則、自身所享有的權利、個人資訊處理者應當承擔的義務以及個人資訊權益受到侵害時的救濟方式等。

　　要養成“非必要不提供”的良好習慣。除了要仔細閱讀隱私協議等條款外，還要考量處理個人資訊理由的充分性和提供個人資訊的必要性，只在確屬必要的情況下才提供個人資訊或者進行授權。

　　要對自己授權或者提供的個人資訊進行持續跟蹤。不同意繼續處理自己的個人資訊時，要積極行使“撤回同意”權利，要求對方停止處理或及時刪除其個人資訊。

　　要注意銷毀帶有個人資訊的單據和資料，防止因隨意丟棄、使用不當等造成個人資訊洩露。如妥善處理未脫敏的快遞單據等帶有個人資訊的單據和資料，使用完後應及時銷毀，或是塗抹掉關鍵資訊後再丟棄；一些帶有個人敏感資訊的電子數據，如證件照片等，建議用完即刪或者採用加密方式進行存儲。

　　要主動拿起法律武器維護合法權益。當自身個人資訊權益受到侵害或者發現存在違法處理個人資訊行為時，要主動進行投訴、舉報，提供案件線索和相關憑證，維護合法權益。

　　存量個人資訊何去何從

　　伴隨個人資訊保護法的落地，還有一個問題值得關注，那就是存量個人資訊該何去何從。

　　所謂存量個人資訊，是指個人資訊處理者在個人資訊保護法實施前已經收集、存儲的各類個人資訊。其中，一些個人資訊處理者可能會以不符合法律規定的方式收集、存儲了大量的包含敏感個人資訊在內的個人資訊。

　　由於個人資訊處理行為具有持續性，個人資訊保護法施行後，實踐中這些個人資訊還可能被繼續利用。“對於這種處理行為應當及時地進行法律規制。”中國人民大學法學院教授張新寶指出，由於目前還缺乏清晰的法律政策指引，完善對存量個人資訊的合法合規治理是個人資訊保護法落地後亟待解決的問題。

　　在張新寶看來，對於存量個人資訊的處理，如果存在違法違規情形，其行為的性質應當如何認定需要作出司法政策上的決斷。他主張，應當以個人資訊保護法正式實施之日作為時間節點，區分實施前與實施後兩種情形分別作出判斷。

　　張新寶建議出臺相關規章或者司法解釋對這一問題作出明確規定。“如果個人資訊處理者的處理活動未能達到個人資訊保護法規定的規範化標準，相關職能部門應當責令其改正或者獲得補充的同意，或者責令其不得進行除存儲和採取必要的安全保護措施之外的處理。”

來源：法治日報    | 撰稿：朱寧寧    | 責編：俞舒珺    審核：張淵

新聞投稿：184042016@qq.com    新聞熱線：13157110107    

來源：法治日報    | 撰稿：朱寧寧    | 責編：俞舒珺    審核：張淵